Meraki MRを一度でも実環境に導入していれば一度ははまってしまう、Meraki MRの特殊なDefault設定についてまとめておきたいと思います。
Meraki MRにはFirewall機能が搭載
「ワイヤレス > 設定 > Firewall&トラフィックシェーピング」へ移動します。
「IP/ポート制御」でMRを通過するパケットのL3ファイアウォールルールの設定が可能です。
Defaultの設定で何故かルールの一行目にDest IPが「ローカルIP」に対して「非許可(Deny)」となっているため注意が必要となります。
ローカルLANとは?
ここで少し聞き慣れない「ローカルLAN」という言葉に少し躊躇ってしまうと思います。
この「ローカルLAN」と言うのは、
・10.0.0.0/8
・172.16.0.0/12
・192.168.0.0/16
のことを指し、要はPrivate IP Addressのこととなります。
ローカルLANへの通信がDenyの場合の影響
それでは、Defaultの「ローカルLAN」への通信が非許可(Deny)の場合どのような影響があるのでしょうか?
一般的な企業のNetworkにおいてはIPv4はPrivate IP Addressで構築されることになります。
「ローカルLAN = Private IP Address」となりますのでInternet(Global IP)宛以外の通信は一切できなくなりますので注意が必要です。
何故Defaultで非許可設定なのか?
何故一般のWLAN環境において不便な設定がDefaultに設定されているのでしょうか?
Meraki MRは企業のWLAN環境だけではなく、Guest Wi-Fi等にも利用されることがあるため用意にLAN内の他の端末に対して通信ができなくしている可能性があります。
「必要な場合だけ許可に設定しなおしてね」ということでしょうか?
通信確認
まず、非許可の場合のPingによる通信確認を行ってみます。
自セグメントではなく、MRの先のMXにて設定している別VLAN宛のPingを行います。
MRにてフィルタがかけられていることが確認できます。
次に許可(Permit)にして同様に試験を行います。
問題なく通信可能になりました。
まとめ
Meraki MRの設定に慣れていれば真っ先にこの設定を確認して必要に応じて許可に設定するのですが、この存在を知らなければ謎の通信不具合が発生することになってしまいます。
Merakiではこれ以外にも少し不可解なDefault設定が他にもあったりしますので、別途どこかで紹介したいと思います。
